y como evito la inyeccion SQL

Me podrias decir de favor..

Ya que mi proceso esta bien supongo

1- Recibo datos
2- Veo que los datos contengan algo
3- valido si los datos existen ya en mi tabla de confirmación (mail, id, code)
4- Si existen inserto voto en tabla votos y modifico el status en la tabla confirmacion de ese email que voto


y si intentan votar con el mismo correo no lo permito ya que valido si ese correo ya voto pot eso ID.

Espero me pueden echar la mano...